机缘巧合,最近接触了一款开源的web安全工具OWASP ZAP,着实眼前一亮 。操作简单易用、功能齐全、插件种类丰富,具备代理、数据截断、扫描、主动攻击、爬虫、fuzzing、渗透测试等多样的安全测试功能,相比于商业版的Burp Suite和AppScan工具,OWASP ZAP不乏为一款不错的商用版替代工具,也是安全人员入门的极佳体验工具 。本文将根据OWASP ZAP工具特性,分别将其与Burp Suite、AppScan工具进行对比,来感受该工具的强大功能 。
OWASP ZAP(全称OWASP Zed Attack Proxy)是由全球性安全组织OWASP推出并定期维护更新的一款开源工具,ZAP专为测试Web应用程序而设计,并且既灵活又可扩展,它是以架设代理的形式来实现渗透性测试,他将自己置于用户浏览器和服务器中间,充当一个中间人的角色,浏览器所有与服务器的交互都要经过ZAP,这样ZAP就可以获得所有这些交互的信息,并且可以对他们进行分析、扫描、甚至是改包再发送 。
首先通过下表直观对比下三款工具对于常用功能的具备情况:
文章插图
相信小伙伴们看完表格也会不禁感叹一下OWASP ZAP工具的功能之齐全 。Burp Suite主要依托于其强大的插件集成,擅长于通过拦截、修改、重放数据包方式挖掘漏洞,Appscan Srandard为一款安全扫描工具,可自动化检测目标网站的漏洞情况,扫描功能完善且漏洞挖掘能力较强、漏洞处理建议完备 。前两者均为商业型工具,ZAP则结合了二者的特性,依托OWASP组织强大的实力背景,逐步演变成了一款功能齐全、开放性的工具 。接下来,针对不同特性,将ZAP分别与这两款工具进行功能对比 。
1.OWASP ZAP与Burp Suite
1.1 工作空间保存
Burp Suite支持临时保存项目、新建项目、打开已存项目三种方式,可对工作空间进行管理 。
文章插图
ZAP通过保存会话的方式同样可以选择将测试过程中所有内容进行留存 。
文章插图
1.2 基础页面
Burp Suite页面分为多个页签,其中Target页面中①陈列出捕获到的站点目录,②展示某个站点抓取到的流量数据,选中某个数据后在③中显示其请求和响应报文,④展示被动扫描发现的缺陷,⑤为缺陷具体详情 。
文章插图
ZAP页面除常规的菜单栏、工具栏外,①陈列出捕获到的站点目录,②③为选中的某条数据的请求或响应报文(分页显示报文头和报文内容),④实时展现捕获的数据流量,⑤展示工具的执行状态以及警告的汇总 。
文章插图
1.3 代理设置
Burp Suite中的Proxy模块作为其核心功能,拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许拦截、查看、修改在两个方向上的原始数据流 。
文章插图
ZAP同样采用架设代理的方式,其代理配置在设置的Local Proxies中,默认设置为127.0.0.1:8080 。
文章插图
1.4 请求与响应
Burp Suite中Target模块可展示所有抓取的流量数据的请求和响应报文,并分页签显示 。
文章插图
ZAP中同样可展示所有数据流量的请求和响应报文,并且可选择多样式视图 。
文章插图
1.5 报文截断
Burp Suite具备对报文拦截、查看、修改等多种操作,使用上灵活方便,算是工具最出彩的一部分功能 。
文章插图
ZAP同样具备报文的查看、截断、修改等功能,但截断再发送后等待的响应时间稍微较长,整体不如Burp Suite敏捷 。
文章插图
1.6 暴力破解
Burp Suite的爆破功能在Intruder页签中完成,这部分可实现定制化的功能,通过添加payload(XSS,SQLI等等)来实现一个自动化的攻击或是密码爆破 。
推荐阅读
- 使用charles嗅探https请求,你的API并不安全
- java安全编码指南之:Thread API调用规则
- 烘鞋器烘一晚上安全吗 烘鞋器会不会着火
- 登山安全注意事项有哪些呢
- 安卓|Android被爆重要安全漏洞:根源竟来自苹果
- 提升网站安全性-隐藏nginx信息
- 散粉里边有滑石粉 花西子散粉成分安全吗,含滑石粉吗
- 视觉测试工具箱
- DataX的技术
- 服务器安全需要注意的几个方面